ACL典型配置举例：基于时间段的访问控制

ACL典型配置举例：基于时间段的访问控制

引用

CSDN

1.

https://blog.csdn.net/m0_51195633/article/details/143770297

本文将通过一个具体的组网场景，详细介绍如何在设备上配置ACL（访问控制列表），以实现对不同部门访问财务数据库服务器的权限控制。

组网需求

某公司内的各部门之间通过Device实现互连，该公司的工作时间为每周工作日的8点到18点。通过配置，需要实现以下访问控制策略：

• 允许总裁办在任意时间访问财务数据库服务器
• 允许财务部在工作时间访问财务数据库服务器
• 禁止其他部门在任何时间访问财务数据库服务器
• 禁止财务部在非工作时间访问财务数据库服务器

配置步骤

1. 创建时间段

首先创建名为work的时间段，其时间范围为每周工作日的8点到18点。

<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day

2. 创建和配置ACL

创建IPv4高级ACL 3000，并制定如下规则：

• 允许总裁办（192.168.1.0/24）在任意时间访问财务数据库服务器（192.168.0.100）
• 允许财务部（192.168.2.0/24）在工作时间访问财务数据库服务器
• 禁止其他部门在任何时间访问财务数据库服务器

[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] quit

3. 应用ACL到接口

将IPv4高级ACL 3000应用到接口GigabitEthernet1/0/1的出方向上。

[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] packet-filter 3000 outbound
[Device-GigabitEthernet1/0/1] quit

验证配置

配置完成后，可以通过以下方式验证配置效果：

在各部门PC上使用ping命令检验

假设各部门的PC均为Windows XP操作系统。

财务部PC访问测试：

C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms

由此可见，财务部的PC能够在工作时间访问财务数据库服务器。

市场部PC访问测试：

C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由此可见，市场部的PC不能在工作时间访问财务数据库服务器。

查看ACL配置和运行情况

在设备上使用display acl命令查看ACL的配置和运行情况。

[Device] display acl 3000
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (4 times matched) (Active)
rule 10 deny ip destination 192.168.0.100 0 (4 times matched)

由此可见，由于目前是工作时间，因此规则5是生效的；且由于之前使用了ping命令的缘故，规则5和规则10分别被匹配了4次。

端口对报文的处理方式

在配置了端口链路类型和端口缺省VLAN后，端口对报文的接收和发送的处理有几种不同情况。